Что ФСТЭК грядущий нам готовит: 3 важнейшие новости

Что ФСТЭК грядущий нам готовит: 3 важнейшие новости
Сегодня в рамках ТБ Форума  ФСТЭК России проводит (пока я пишу этот пост, она еще идет) ежегодную большую сессию, посвященную "актуальным вопросы защиты информации". А по сути, отчитываются о результатах своей деятельности, рассказывают о планах и отвечают на вопросы посетителей. 

Мероприятие кране интересное и полезное. Оно определяет направление развития отечественного ИБ (особенно для гос.органов) на ближайший год. Контента (презентаций) очень много, я успел послушать следующие:
  • Совершенствование нормативного и методического обеспечения вопросов защиты информации
  • Проблемные вопросы сертификации средств защиты информации. Подходы по совершенствованию качества ССЗИ
  • Особенности аккредитации испытательных лабораторий и органов по сертификации
  • Совершенствование требований по защите информации, предъявляемых к межсетевым экранам
  • О мерах по повышению лицензионных требований к соискателям лицензий и лицензиатам
  • Банк данных угроз безопасности информации и уязвимостей программного обеспечения: реалии и перспективы

Сейчас буду готовить  аналогичный прошлогоднему  большой пост по теме. Но пока расскажу о трех важнейших, на мой взгляд, новостях.

1. Планируется расширить область действия Приказа 17 на все гос.органы, а не просто на ГосИС

В ближайшие дни на  http://regulation.gov.ru  ожидаем появление законопроекта, вносящего изменения в 149-ФЗ и расширяющего понятие "государственная информационная система". При действующей редакции "хитрые"/"мудрые" гос.органы обычно отказывались признавать свои ИС "государственными". Это обосновывали тем, что они НЕ были "созданы на основании соответственно федеральных законов, законов субъектов Российской Федерации, или на основании правовых актов государственных органов", а также их ИС отсутствуют в реестре ГосИС (например, этом ). 

Новость ожидаема, ведь в связи с устареванием СТР-К, именно 17 приказ можно считать его преемником. 

Что это за собой влечет: гос.органы получат расширенный перечень обязательных мер защиты, обязательную аттестацию (правда можно будет отказать от аттестации неважных систем/не содержащих государственную  (служебную) информацию, хотя порядок такого отказа не определен) и обязательное использование сертифицированных СЗИ.

Но тема может и не пройти, например, Минэкономразвития России в последнее время часто блокирует/затормаживает законопроекты, которые требуют увеличения финансирования гос.органов... Слышал, что из-за них мы так и не можем до сих пор увидеть финальную версию закона о КИИ (КВО)...


2.Необходимо будет использовать СЗИ, сертифицированные по 4 НДВ, для всех (любых) ИС в гос.органах

Тут все просто, в этом году планируется обновление Приказа 17 (об этом я напишу подробно в следующем посте). В частности, изменятся подход к классификации ИС и требования классам СЗИ. Сертификация СЗИ по 4 НДВ необходима будет для всех классов ИС:
Об этом не говорится явно, но, по сути, угрозу наличия программных закладок теперь считают априори актуальными...

Что это за собой влечет: производителям СЗИ, если конечно они захотят продавать их гос.органам, придется проходить сертификацию и по 4 НДВ. Хотя многие и так это делают... 


3.Планируется обязать лицензиатов ФСТЭК России внедрять у себя СМК и СМИБ 

Многие из нас (и я в том числе) не придали особого значения (просто не успели посмотреть внимательно) проект Постановления Правительства РФ " О внесении изменений в некоторые акты

Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Andrey Prozorov

Информационная безопасность в России и мире